Google запускает программу вознаграждения за поиск ошибок в приложениях для Android

Компания Google запустила Mobile Vulnerability Rewards Program (Mobile VRP), новую программу вознаграждения за поиск уязвимостей, которая будет платить исследователям безопасности за недостатки, найденные в приложениях компании для Android.

«Мы рады объявить о новой программе Mobile VRP! Мы ищем багхантеров, которые помогут нам найти и устранить уязвимости в наших мобильных приложениях», — говорит Google VRP.

По словам компании, основная цель Mobile VRP — ускорить процесс поиска и устранения слабых мест в Android-приложениях, разработанных или поддерживаемых Google.

В сферу действия Mobile VRP входят приложения, разработанные компаниями Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze.

В списке приложений, входящих в сферу действия, также есть приложения для Android, которые Google называет приложениями «первого уровня», к которым относятся следующие приложения (и названия их пакетов):

• Google Play Services (com.google.android.gms)
• AGSA (com.google.android.googlequicksearchbox)
• Google Chrome (com.android.chrome)
• Google Cloud (com.google.android.apps.cloudconsole)
• Gmail (com.google.android.gm)
• Chrome Remote Desktop (com.google.chromeremotedesktop)

К оплачиваемым уязвимостям относятся те, которые позволяют выполнить произвольный код (ACE) и похитить конфиденциальные данные, а также уязвимости, которые могут быть связаны с другими недостатками, которые могут привести к аналогичным последствиям.

К ним относятся неправильные разрешения, произвольная запись файлов, перенаправления намерений для запуска неэкспортируемых компонентов приложения, а также ошибки безопасности, вызванные небезопасным использованием отложенных намерений.

«Программа Mobile VRP отмечает вклад и усердную работу исследователей, которые помогают Google повысить уровень безопасности наших приложений для Android», — говорится в сообщении Google.

Цель программы — устранить уязвимости в собственных приложениях Android и тем самым обезопасить пользователей и их данные.

В августе 2022 года компания объявила, что будет платить исследователям безопасности за поиск ошибок в последних выпущенных версиях программного обеспечения Google с открытым исходным кодом (Google OSS), включая наиболее важные проекты, такие как Bazel, Angular, Golang, Protocol buffers и Fuchsia.

С момента запуска своего первого VRP более десяти лет назад, в 2010 году, компания Google выплатила более 50 миллионов долларов тысячам исследователей безопасности по всему миру за сообщения о более чем 15,000 уязвимостях.

В 2021 году Google выплатил $8.7 млн, а уже в 2022 оплатил $12 млн, включая рекордную выплату в размере $605,000 за цепочку эксплойтов для Android, состоящую из пяти отдельных ошибок безопасности, что является самым высоким показателем в истории Android VRP.

За год до этого тот же исследователь представил еще одну критически важную цепочку эксплойтов в Android, заработав еще $157,000 — на тот момент это был предыдущий рекорд в истории Android VRP.